К моему удивлению, было очень много положительного фидбека по выступлению на positive hack days в этом году

По его следам слепили с позитивами чуть более расширенную версию:
https://ptresearch.media/articles/top-10-artefaktov-linux-dlya-rassledovaniya-inczidentov

#basics #forensics #linux

Если вы не знаете, о чем говорит созданная служба BTOBTO или не можете с ходу определить тулзу по процессу с командной строкой типа cmd.exe /Q /c cd \ 1> \\127.0.0.1\ADMIN$\__ssssssssss.sssssss 2>&1), тогда я иду к вам
Часть лучших читшитов по детекту и обнаружению следов работы инструментов для удаленного выполнения команд:


https://www.unh4ck.com/detection-engineering-and-threat-hunting/lateral-movement/detecting-conti-cobaltstrike-lateral-movement-techniques-part-1
// cobalt strike built-in modules: jump psexec, psexec64, psexec_psh, winrm, winrm64

https://www.unh4ck.com/detection-engineering-and-threat-hunting/lateral-movement/detecting-conti-cobaltstrike-lateral-movement-techniques-part-2
// cobalt strike remote-exec: psexec, winrm, wmi

https://www.13cubed.com/downloads/impacket_exec_commands_cheat_sheet_poster.pdf
// impacket: atexec .py, dcomexec .py, psexec .py, smbexec .py, wmiexec .py. не могу не добавить, что канал 13Cubed Ричарда Дэвиса - это просто находка для будущих и настоящих форензиков

https://bczyz1.github.io/2021/01/30/psexec.html#metasploit
// metasploit: psexec

https://jpcertcc.github.io/ToolAnalysisResultSheet/ , раздел Execution
// psexec (sysinternals), wmic, schtasks, wmiexec.vbs, beginx, winrm, winrs, bits

#windows #forensics

Windows Forensic Analysis Poster (latest version from 02/2023)

На что стоит обратить внимание в первую очередь:
— новые источники артефактов, например, CapabilityAccessManager (execution), MS Word Reading Locations (file open), раздел Cloud Storage
— $ SI timestamps Win10 + Win11; тут правда еще большой вопросик, насколько последнее актуально для России (:
— подправили описание Shimcache и Amcache (evidence of presence on the system!)

#windows #forensics #tips

Резюмируя

Ну, начинать с харденинга ядра, а ближе к концу разбирать структуру сообщений сислога - это сильно 😅
В общей сложности, для тех, кто только погружается в тему безопасности линуксов - прям хорошо. Снова убеждаюсь, что по большей части мне нравится подача материала на митапах джетов: просто и по делу. От себя могу добавить еще пару достойных докладов с их последнего кэмпа

Настройка аудита Windows: эффективное детектирование атак
// эх, если бы к этому прислушивались все; а пока что большую часть этих и других рекомендаций мы выдаем уже после произошедшего инцидента

TOP-10 криминалистических артефактов Windows при расследовании инцидентов
// мне кажется, это лучшее исполнение десятки полезных артефактов по винде, которое могло бы быть :) правда, меня вот теперь тоже* триггерит, когда amcache относят к execution артефактам

Чертоги оперативной памяти: как проанализировать то, что пока не забыто
// 11 из 10! даже для тех, кто не понаслышке знаком с анализом оперативки, будет интересно как минимум в разрезе практических кейсов

#windows #forensics

Решила обновить у себя некоторые постеры SANS, и заодно поделиться с вами тем, чем регулярно пользуюсь сама

#windows #network #forensics

Все форензики любят утилиты Эрика Циммермана,
просто потому что это база и они охватывают буквально все основные криминалистические источники артефактов. Более того, Эрик их саппортит и постоянно допиливает

Из забавного: на одном из потоков сансовских курсов студенты проходили общую структуру таблицы MFT, которая содержит информацию о содержимом тома с файловой системой NTFS (простыми словами, информацию обо всех файлах, хранящихся на диске). В момент, когда начали рассматривать соответствующую консольную утилиту MFTECmd и порядок работы с ней, также затронули понятие резидентных и нерезидентных файлов. Резидентные файлы - это те, размер которых меньше 600-900 байт, поэтому хранятся они прямо в файле $ MFT. Кто-то из учеников курса сказал, что классно было бы, если бы MFTECmd умел работать с такими файлами сразу. Эрик услышал этот комментарий и буквально в течение часа зарелизил апдейт с такой фичей (: Поэтому теперь небольшие файлы можно достать при помощи параметра --dr. Пример команды:

MFTECmd.exe -f C:\Cases\Case1\mailserver-triage\mft\$MFT --csv . --dr

В результате все резидентные файлы будут лежать у вас в одноименной папке рядом с распаршенным $ MFT.
Что может быть в таких ничтожно малых файлах, спросите вы?
По факту, без необходимости снятия образа и дозапроса данных, у вас появляется возможность сразу же получить все легковесные текстовые файлы, батники, ps1-файлы, что невероятно полезно и порой более чем достаточно при выяснении каких-то деталей в процессе расследования инцидента

#forensics #windows

Еще один мой фаворит - EvtxECmd
При помощи него вы не только можете конвертнуть журналы из нативного evtx-формата в более удобный для вас (CSV, XML или JSON), но и работать с ними напрямую, например, сразу посмотреть статистику по журналу (и увидеть большое количество 4625, но чаще всего это и так видно невооруженным глазом) или отфильтровать по необходимому промежутку времени:

EvtxECmd.exe -d C:\Cases\Case2\mailserver-triage\eventlogs\Logs --sd "2023-08-16 12:00:00" --ed "2023-09-16 12:00:00" --csv C:\Cases\Case2\mailserver-triage\eventlogs --csvf filtered-events.csv

Или сразу же выбрать из журналов только полезные ивенты по их eventID. Например, на одном из скомпрометированных хостов вы нашли факты использования актором PowerShell-сценариев. В качестве одного из вариантов, вы можете собрать события 400,600 по всему домену, что может помочь расширить скоуп скомпрометированных хостов, временные рамки инцидента, а также список используемых процедур:

EvtxECmd.exe -d C:\Windows\System32\winevt\Logs --csv <путь к сетевой папке> --csvf %computername%_evtx.csv --inc 400,600

Кстати, большинство инструментов Эрика также поддерживают работу с теневыми копиями: для этого при запуске на живой системе нужно добавить параметр -vss, что иногда может позволить достать более старые события. Теневые копии вообще предмет интересный, позже поговорим и об этом тоже :)

#forensics #windows

#basics
#git #soft
#windows
#linux
#macos
#cloud
#network
#red #blue #purple

#forensics
#dfir
#threathunting
#malware // скорее всего, будет много реверса
#report // технические отчеты
#research // ресерчи
#books // полезная литература
#video // видеоматериалы
#present // презентации с докладов
#tips // white papers, читшиты и любые другие заметки, где можно откопать что-то важное, но не подходит под категории выше

#own // личные мысли, истории, наблюдения, выводы
#weekly // подборка прочитанных достойных материалов
#meme // тег для души или когда мне лень писать много буков